膨大なセキュリティアラートの誤検知、「9割以上」見抜けるAIを日立が開発中：アナリストの負荷を軽減

サイバー攻撃の検知はできても、月に数千件も上がってくるアラートにどう対応すればいいのか――そんな悩みを解決してくれるAIを日立製作所が開発している。

[池田憲弘，ITmedia]

2018年6月12日に開催した「日立セキュリティセミナー」で、AIを使ったセキュリティ監視が展示されていた

　サイバー攻撃の激しさが増し、新たに発見される脆弱（ぜいじゃく）性も年々増え続ける中、企業のセキュリティ担当者にかかる負荷も増え続けている。「攻撃の検知や可視化はできても、ログ解析の結果出てくる、1日100件以上のアラートにどう対応すればいいのか」。そんな悩みを抱えている企業は少なくないだろう。

　実際のところ、膨大なアラートの中で本当に対応すべきものはほんのわずかで、それ以外の大半は誤検知なのが一般的だ。この誤検知をAI／機械学習を使って見抜き、セキュリティ監視業務の負荷を軽減できないか――。そのような取り組みが、日立製作所のプライベートイベント「日立セキュリティセミナー」で展示されていた。

　膨大なアラートから、優先して対応すべきものを決めるのはアナリストの仕事だが、ビジネスごとにその傾向は異なることから、属人化してしまうという課題がある。また、セキュリティ人材の育成は時間がかかることから、人手不足にも陥りやすい。

AIを使ったセキュリティ監視の仕組み

　日立製作所が研究を進めているのは、過去のインシデント例などから、ログの内容（時間やIPアドレスなど）とアラートの種類、そしてアナリストによる判断結果の関係性を学習させたAIを構築する方法だ。過去の判断結果を教師データ（正解データ）とする、教師あり学習を採用しており、AIが誤検知の可能性を数値化し、対応すべきアラートの優先度を0から1の間でスコアリングする。その結果を基に、ユーザーは優先すべきアラートを絞り込むことができるというわけだ。

　現在、この技術は社内外で実証実験を進めている最中とのことで、「正しい検知を見逃さないレベルの判定基準で、最大で95％の誤検知を低減できる」（同社）という。比較的シンプルな仕組みの機械学習を使っているため、100件程度のデータでもAIを開発できるとのことで、「依頼を受けてから2カ月程度で効果が出る」（同社）という。

アラートを抽出し（左）、0から1の範囲でスコアリングを行う（右）。数値が高いほど、優先度が高いことを表している

セキュリティに「AI」を使う難しさ

　とはいえ、セキュリティにAIを使うにはさまざまな課題もある。まずは「高い精度が求められる」という点だ。インシデントにつながるアラートを見逃してしまえば、重大な情報漏えいにつながる可能性があるため、基本的には見逃し（統計学でいう「第二種過誤」）はゼロに近づけたいところだ。

　しかし、見逃しを減らそうとすれば、今度は誤検知を「対応すべきアラート」として表示させてしまう可能性（統計学でいう「第一種過誤」）が増える。この両方の可能性を同時に減らしていくのは簡単なことではない。

　その他にも、大量にある誤検知のケースに比べて、実際にインシデントにつながったケースは少ないため、データの収集が難しいほか、日々増える攻撃の方法に対応できるよう、継続的にAIの“働き”を見直す必要も出てくる。そのため、実際にこれをサービス化する際は、コンサルティングと組み合わせる形を想定しているとのこと。同社によると「実証実験の結果や、さまざまな課題を解決しながら、2018年秋ごろのサービスインを目指している」という。